Un vieux ver abandonné par ses créateurs continue d'infecter les machines de plus de 2 millions d'utilisateurs

Attention, ce geste peut propager le ver PlugX USB dans votre machine © Alexey Rotanov / Shutterstock

Attention, ce geste peut propager le ver PlugX USB dans votre machine © Alexey Rotanov / Shutterstock

Le ver PlugX USB est une variante de PlugX, un malware chinois détecté pour la première fois en 2008. Cette mutation lui permet de se répliquer grâce à des clés USB infectées dans les machines auxquelles elles sont connectées.

Le ver est à nouveau dans le fruit. Tout comme son cousin éloigné Rasperry Robin, qui a refait surface en avril 2024 après 3 ans de sommeil, PlugX revient, pour la troisième fois depuis son apparition en 2008. Cette V3 n’a rien à envier à ses aïeules, puisqu’elle est désormais autonome.

En effet, PlugX USB, comme son nouveau nom l’indique, est capable de s’infiltrer au cœur de clés USB, lesquelles vont infecter les machines simplement en s’y connectant, sans aucune exécution nécessaire de la part de l’utilisateur. Magie ? Non, ingénierie.

Le plus fort dans cette histoire, c’est que l’adresse IP unique, qui servait de catalyseur au ver pour véroler les supports USB, a été abandonnée par son créateur, laissant PlugX USB pour mort. C’était toutefois mal connaître Felix Aimé, Charles M. et TDR (Threat Detection & Research), chercheurs à Sekoia, qui ont réussi à créer un piège dans lequel s’engouffrent toutes les IP infectées par ce ver, le réduisant ainsi à néant. Ou presque.

Un piège qui capture les adresses IP des machines infectées par PlugX USB et dresse un profil des hackers

Traquant ce ver à travers le cyberespace, les chercheurs ont découvert qu’il était encore actif, bien que relié à une adresse IP laissée à l’abandon. Ils l’ont alors rachetée pour la transformer en véritable piège.

Et ce qui devait se résumer à une récolte de quelques milliers de victimes s’est transformé en pêche miraculeuse. « Au total, entre 90 et 100 000 adresses IP uniques envoient chaque jour des requêtes distinctives PlugX à notre serveur gouffre depuis septembre 2023 », constatent-ils. Ainsi, plus de 2 millions de machines infectées à travers 170 pays ont été identifiées.

Ils ont ainsi pu établir une cartographie de ces adresses IP infectées afin de déterminer l’origine et le but non avoué des créateurs du ver. Et même si, comme ils le soulignent sur leur blog, leurs conclusions sont à prendre avec des pincettes, leurs analyses semblent indiquer un coupable bien connu de l’espace cyber : la Chine.

En effet, l’initiative chinoise « la Ceinture et la Route » (Belt & Road Initiative) attire de nombreux pays, sauf l’Inde. Destinée à relancer l’ancienne route de la soie pour redynamiser le marché international, cette mesure implique d’importants investissements chinois, surtout dans les pays côtiers, si l’on en croit la propagation massive de PlugX USB dans ces régions. Mais rien n’est moins sûr, car désormais, la Chine investit partout.

Le choix cornélien : laisser le ver continuer de se propager ou désinfecter les systèmes à l’aveugle

Puisque ce piège fonctionne et récolte des adresses IP, il suffit aux chercheurs de remonter ces adresses jusqu’aux propriétaires des machines infectées et de leur proposer un grand nettoyage de printemps de leur système.

Oui mais voilà, tout n’est pas aussi simple qu’il n’y paraît. Déjà, une désinfection totale des systèmes infectés peut entraîner la suppression de fichiers ou de processus sains ou indispensables. Ensuite, ce procédé possède des limites juridiques. Les chercheurs ne sont pas en mesure légale de désinfecter les machines vérolées qui ne leur appartiennent pas à partir de leur serveur. Enfin, il existe un risque de réinfection à plus ou moins court terme pour un système désinfecté.

Une simple connexion de la clé USB infectée suffit à véroler la machine © KsanderDN / Shutterstock

Une simple connexion de la clé USB infectée suffit à véroler la machine © KsanderDN / Shutterstock

D’un autre côté, laisser PlugX USB vivre sa meilleure vie paraît une alternative moins risquée, puisque le serveur de commande et de contrôle (le fameux C2) n’est plus actif depuis des années. Que nenni, répliquent les chercheurs.

«Â […] Toute personne qui contrôle l’adresse IP ou accède à n’importe quel point du chemin réseau entre un poste de travail infecté et le serveur C2 (même lorsqu’il est en panne) peut tenter de manipuler le comportement du ver, pour exécuter une charge utile, par exemple. » On l’aura compris, retombé dans de mauvaises mains, PlugX USB pourrait devenir bien plus dangereux.

C’est pourquoi l’équipe de Sekoia a choisi de laisser aux autorités nationales la décision de désinfecter ou non les postes de travail dans leurs pays respectifs. Ils estiment que cette décision devrait être prise par les équipes d’intervention en cas d’urgence informatique (CERT), les forces de l’ordre (LEA) et les autorités de cybersécurité.

Sources : Ars Technica, Sophos, Sekoia